Skip to main content

Kontrolni seznam za skladnost piškotkov: 25 točk do popolne skladnosti

Skladnost piškotkov vključuje tehnično izvedbo, pravno dokumentacijo in stalne operativne procese. Če manjka le en element, lahko to pomeni neskladnost, tudi če je vse ostalo urejeno. Ta strukturirani kontrolni seznam s 25 točkami zajema vse vidike skladnosti piškotkov v okviru GDPR, direktive ePrivacy in glavnih mednarodnih zakonov o zasebnosti. Uporabite ga kot vodnik za izvedbo in kot orodje za redne preglede.

Popis piškotkov

Ne morete upravljati tistega, česar niste izmerili. Popoln in točen popis piškotkov je temelj vsake druge dejavnosti za zagotavljanje skladnosti.

  1. Vsi piškotki so prepoznani in dokumentirani

    Vsak piškotek, ki ga vaše spletno mesto nastavi, mora biti prepoznan, vključno s piškotki, ki jih nastavijo skripti tretjih oseb, vgrajena vsebina in dinamično naložena sredstva. Uporabite samodejno pregledovanje za zagotovitev popolne pokritosti vseh strani, ne le domače strani. Vaš popis mora vključevati piškotke HTTP, vnose localStorage, vnose sessionStorage in vse druge mehanizme shranjevanja na strani odjemalca, ki se uporabljajo za sledenje.

  2. Vsak piškotek je pravilno kategoriziran

    Vsak piškotek mora biti razvrščen v pravilno kategorijo glede na skladnost: nujno potreben, funkcionalni, analitični/za zmogljivost ali marketinški/oglaševalski. Kategorizacija mora biti poštena — piškotka, ki sledi uporabnikom za oglaševalske namene, ni mogoče kategorizirati kot "funkcionalnega" zgolj zato, ker prinaša tudi neko funkcionalno korist. V dvomih uporabite strožjo kategorijo. Organi za varstvo podatkov (DPA) kategorizacijo natančno preverjajo, napačna kategorizacija pa je ena najpogostejših ugotovitev v postopkih izvrševanja.

  3. Piškotki tretjih oseb so prepoznani skupaj s ponudniki

    Za vsak piškotek tretje osebe na vašem spletnem mestu dokumentirajte, katera storitev ga nastavi, zakaj je na vašem mestu ter katere podatke zbira ali deli. Pogoste vire piškotkov tretjih oseb predstavljajo analitične platforme (Google Analytics, Adobe Analytics), oglaševalska omrežja (Google Ads, Meta Pixel, LinkedIn Insight Tag), pripomočki družbenih omrežij, vgrajeni videoposnetki (YouTube, Vimeo), orodja za klepet (Intercom, Drift) in platforme za A/B testiranje (Optimizely, VWO). Z vsakim ponudnikom tretje osebe mora biti sklenjena pogodba o obdelavi podatkov.

  4. Trajanje piškotkov je dokumentirano

    Zabeležite obdobje poteka za vsak piškotek. Sejni piškotki potečejo ob zaprtju brskalnika. Trajni piškotki imajo določeno življenjsko dobo, ki mora biti dokumentirana (npr. 30 dni, 1 leto, 2 leti). Skladno z načeloma najmanjšega obsega podatkov in omejitve shranjevanja iz GDPR mora biti trajanje piškotkov sorazmerno z njihovim namenom. Analitičnega piškotka, ki obstaja 10 let, bi bilo težko utemeljiti. CNIL priporoča največ 13 mesecev za analitične piškotke.

  5. Nameni piškotkov so dokumentirani v razumljivem jeziku

    Namen vsakega piškotka mora biti opisan v jeziku, ki ga tipičen obiskovalec spletnega mesta razume. "Ta piškotek shrani enolični identifikator za sledenje vaše dejavnosti brskanja po našem mestu za namene spletne analitike" je jasen. "_ga: uporablja ga Google Analytics za razlikovanje uporabnikov" za večino uporabnikov ni dovolj. Opis namena mora odgovoriti na vprašanje: "Kaj ta piškotek počne in zakaj bi ga dovolil?"

Mehanizem privolitve

Mehanizem privolitve je točka, kjer se pravne zahteve srečajo s tehnično izvedbo. Pravilna izvedba tega je najbolj kritičen — in najpogosteje spregledan — vidik skladnosti piškotkov.

  1. Privolitev je pridobljena PREDEN se nastavijo nenujni piškotki

    To je najpomembnejša posamezna tehnična zahteva. Noben analitični, oglaševalski ali drug nenujni piškotek se ne sme nastaviti, dokler uporabnik ne poda izrecne privolitve. To pomeni, da mora biti nalaganje skriptov tretjih oseb blokirano, dokler privolitev ni prejeta. Zgolj naknadno brisanje piškotkov ni skladno — direktiva ePrivacy zahteva privolitev pred shranjevanjem, ne naknadne odstranitve. To preizkusite tako, da svoje mesto obiščete v anonimnem oknu in preverite, kateri piškotki se nastavijo, preden ste kliknili karkoli na pasici.

  2. Skripti so blokirani, dokler ni podana privolitev

    Blokiranje piškotkov ni dovolj — treba je preprečiti izvajanje skriptov, ki jih nastavljajo. Skript, ki se naloži in izvede, a mu je preprečeno zapisovanje piškotka, lahko še vedno zbira in prenaša podatke (prek pikslov, svetilnikov ali klicev API). Vaše upravljanje privolitev mora preprečiti nalaganje samega skripta, dokler ni sprejeta ustrezna kategorija privolitve. Pogosti pristopi k izvedbi vključujejo spreminjanje atributa type skriptnih oznak (npr. iz text/javascript v text/plain) in dinamično vstavljanje skriptov po prejeti privolitvi.

  3. Gumba za sprejem in zavrnitev sta enako izpostavljena

    Možnost zavrnitve nenujnih piškotkov mora biti predstavljena enako izpostavljeno kot možnost sprejema. To pomeni enako vizualno obravnavo: enako velikost, enako barvno težo, enako plast vmesnika. Velik zelen gumb "Sprejmi vse" ob majhni sivi povezavi "Upravljaj nastavitve" ne predstavlja enake izpostavljenosti. CNIL, Garante in številni drugi organi za varstvo podatkov so za to težavo izrekli globe. Obe možnosti morata biti na prvi plasti pasice piškotkov, ne da bi bili potrebni dodatni kliki.

  4. Na voljo je podrobna privolitev na ravni kategorij

    Uporabniki morajo imeti možnost neodvisno privoliti v posamezne kategorije piškotkov. Sprejem analitičnih piškotkov ne sme zahtevati tudi sprejema oglaševalskih piškotkov. Zagotovite vsaj ločena stikala za: nujno potrebne (vedno vklopljeni, brez možnosti izklopa), funkcionalne, analitične/za zmogljivost in marketinške/oglaševalske. Če piškotke uporabljate za več različnih namenov znotraj kategorije, razmislite o še bolj podrobnih možnostih.

  5. Ni vnaprej odkljukanih potrditvenih polj

    Ko uporabnik odpre podrobne nastavitve piškotkov, morajo biti vse izbirne kategorije privzeto neodkljukane. Le nujno potrebni piškotki (ki ne zahtevajo privolitve) so lahko vnaprej omogočeni. Sodišče EU je v sodbi Planet49 (zadeva C-673/17) potrdilo, da vnaprej odkljukana potrditvena polja ne predstavljajo veljavne privolitve. To velja ne glede na to, ali jih uporabnik lahko odkljuka — privzeto stanje mora biti izklop, ki zahteva izrecno dejanje za vklop.

  6. Preklic privolitve je enako preprost kot njena podaja

    Člen 7(3) GDPR zahteva, da mora biti preklic privolitve enako preprost kot njena podaja. Če lahko uporabnik piškotke sprejme z enim samim klikom na pasici, mora imeti možnost, da privolitev prekliče s primerljivo lahkoto. Najboljša praksa je stalna, vedno vidna povezava ali ikona (npr. v nogi ali kot plavajoči gumb), ki odpre center za nastavitve piškotkov, kjer lahko uporabnik spremeni ali prekliče svoje izbire. Zahteva, da uporabnik izbriše piškotke v brskalniku, poišče skrito stran z nastavitvami ali kontaktira podporo, ne izpolnjuje tega standarda.

  7. Zapisi o privolitvi so shranjeni s časovnimi žigi

    Znati morate dokazati, da je bila privolitev podana. Shranite zapis o vsakem dejanju privolitve, vključno z: časovnim žigom, podanimi izbirami privolitve (katere kategorije so bile sprejete/zavrnjene), različico pasice in politike piškotkov, ki sta bili takrat v veljavi, ter enoličnim identifikatorjem privolitve (ki za anonimne obiskovalce ni nujno povezan z uporabniškim računom). Skladno z načelom odgovornosti iz GDPR dokazno breme za privolitev nosi upravljavec. Če ne morete predložiti dokaza, da je določen uporabnik privolil, njegova privolitev dejansko ni dokazana.

Politika piškotkov

Vaša politika piškotkov je hkrati pravni dokument in orodje za preglednost. Biti mora točna, popolna in razumljiva.

  1. Politika piškotkov obstaja in je dostopna

    Obstajati mora namenska politika piškotkov (ali jasen razdelek o piškotkih znotraj vaše politike zasebnosti), ki jo je enostavno najti. Najboljša praksa je namenska stran, povezana iz noge spletnega mesta, pasice piškotkov in glavne politike zasebnosti. Politika mora biti dostopna brez sprejema piškotkov — uporabniki morajo imeti možnost, da jo preberejo, preden se odločijo o privolitvi.

  2. Vsi piškotki so navedeni z imeni, nameni, vrstami in trajanjem

    Vaša politika piškotkov mora vključevati tabelo ali strukturiran seznam vsakega piškotka, ki ga vaše spletno mesto nastavi, vključno z: imenom piškotka, tem, kdo ga nastavi (prva oseba ali ponudnik tretje osebe), tem, kaj počne (v razumljivem jeziku), ali gre za sejni ali trajni piškotek in koliko časa traja. To ni izbirno — gre za izrecno zahtevo v okviru določb o preglednosti iz GDPR (členi 12–14) in zahteve po informirani privolitvi iz direktive ePrivacy.

  3. Ponudniki tretjih oseb so prepoznani

    Vaša politika mora navesti storitve tretjih oseb, ki nastavljajo piškotke na vašem spletnem mestu. "Uporabljamo analitične piškotke tretjih oseb" ni dovolj. "Uporabljamo Google Analytics (podjetja Google LLC), ki nastavi naslednje piškotke: _ga, _gid, _gat" pa je. Uporabniki imajo pravico vedeti, kdo o njih zbira podatke, in sprejemati informirane odločitve o vsakem ponudniku.

  4. Vključena so navodila za upravljanje piškotkov

    Vaša politika mora pojasniti, kako lahko uporabniki upravljajo svoje nastavitve piškotkov, vključno z: dostopom do vašega centra za nastavitve piškotkov za spreminjanje izbir privolitve, brisanjem obstoječih piškotkov prek nastavitev brskalnika in povezavami do politik zasebnosti glavnih ponudnikov piškotkov tretjih oseb. Čeprav je upravljanje piškotkov na ravni brskalnika odgovornost uporabnika, jasna navodila izkazujejo dobro vero in podpirajo načelo opolnomočenja uporabnika.

  5. Politika je datirana in redno posodabljana

    Vaša politika piškotkov mora vključevati datum zadnje posodobitve. Ob vsakem dodajanju novih piškotkov, odstranitvi piškotkov, menjavi ponudnikov tretjih oseb ali spremembi namenov piškotkov je treba politiko posodobiti, da odraža spremembo. Nedatirana politika ali politika, ki ni bila posodobljena več kot leto dni, je opozorilni znak za organe za varstvo podatkov. Najboljša praksa: rezultate pregledovanja piškotkov povežite s svojo politiko, tako da se ta samodejno posodobi ob zaznavi novih piškotkov.

Pasica piškotkov

Pasica piškotkov je vidni vmesnik vašega upravljanja privolitev. Mora uravnotežiti pravno skladnost z uporabnostjo.

  1. Pasica se prikaže ob prvem obisku, preden se nastavijo piškotki

    Pasica piškotkov se mora prikazati, ko uporabnik prvič obišče vaše spletno mesto, preden se nastavijo kakršni koli nenujni piškotki. Pasica mora biti takoj vidna brez pomikanja, ne sme jo biti mogoče preprosto zapreti z nenamernim klikom in mora ostati prikazana, dokler uporabnik ne sprejme aktivne odločitve. Pasica ne sme ovirati uporabnikove možnosti, da zapusti stran ali dostopa do nujne vsebine (čeprav je omejevanje dostopa do vsebine za zahtevo po privolitvi v nekaterih jurisdikcijah lahko dopustno, je varnejši pristop dovoliti navigacijo, medtem ko je pasica prikazana).

  2. Pasica je dostopna (omogoča navigacijo s tipkovnico, združljiva z bralniki zaslona)

    Vaša pasica piškotkov mora biti tudi sama dostopna. To pomeni: vsi interaktivni elementi (gumbi, stikala, povezave) morajo biti dosegljivi in uporabni s tipkovnico; pasica mora biti ustrezno najavljena bralnikom zaslona z ustreznimi atributi ARIA; fokus mora biti pravilno upravljan (fokus se mora prestaviti na pasico, ko se prikaže, in vrniti na stran, ko se zapre); barvni kontrast mora ustrezati standardom WCAG 2.1 AA (4,5:1 za običajno besedilo, 3:1 za veliko besedilo); pasica pa mora biti uporabna pri različnih ravneh povečave in velikostih zaslona. Nedostopna pasica piškotkov je hkrati pravno tveganje (neizpolnjevanje skladnosti WCAG) in tveganje za ugled vsake organizacije, ki trdi, da ji je mar za zasebnost in vključenost.

  3. Pasica vsebuje povezavo do celotne politike piškotkov

    Pasica piškotkov mora vsebovati povezavo do vaše celotne politike piškotkov, kar uporabnikom omogoča, da preberejo podrobne informacije o vsakem piškotku, preden se odločijo o privolitvi. Povezava mora biti jasno vidna in označena (npr. "Preberite našo politiko piškotkov" ali "Več informacij"). GDPR zahteva, da je privolitev "informirana", kar pomeni, da morajo biti informacije, potrebne za sprejem informirane odločitve, dostopne na točki privolitve.

  4. Pasica ne uporablja temnih vzorcev

    Temni vzorci v pasicah piškotkov spodkopavajo veljavnost privolitve. Izogibajte se: vizualnemu poudarjanju gumba za sprejem (večji, svetlejši, bolj izpostavljen), medtem ko je možnost zavrnitve nevpadljiva ali skrita; uporabi zavajajočega jezika ("Sprejmi priporočene nastavitve" namesto jasnih možnosti); zahtevi po več klikih za zavrnitev kot za sprejem; barvnemu označevanju, ki namiguje, da je zavrnitev napačna (rdeča za zavrnitev, zelena za sprejem); uporabi jezika, ki uporabnika sramoti za odločitev ("Ne, mar mi ni za mojo izkušnjo"); ter vsakršni drugi zasnovi, ki uporabnike usmerja, manipulira ali zavaja k sprejemu. Smernice EDPB o temnih vzorcih (sprejete februarja 2023) navajajo podrobne primere prepovedanih praks.

Tehnično in stalno

Skladnost piškotkov ni projekt z datumom dokončanja. Gre za neprekinjen operativni proces.

  1. Google Consent Mode v2 je izveden (če uporabljate Googlove storitve)

    Če uporabljate katero koli Googlovo storitev (Analytics, Ads, Tag Manager), je Google Consent Mode v2 od marca 2024 obvezen za prikazovanje oglasov v EGP. Consent Mode Googlovim oznakam sporoča izbire privolitve piškotkov vaših uporabnikov ter prilagaja njihovo delovanje glede na status privolitve. Brez Consent Mode Googlove oznake morda ne bodo pravilno delovale z vašo platformo za upravljanje privolitev, kar vodi bodisi v izgubo podatkov (oznake so povsem blokirane) ali kršitve skladnosti (oznake se sprožijo brez privolitve). Izvedite tako parameter privolitve ad_storage kot analytics_storage in poskrbite, da je njuna privzeta vrednost "denied", dokler ni podana privolitev.

  2. Redno pregledovanje piškotkov je načrtovano

    Nastavite samodejne preglede piškotkov po ponavljajočem se urniku. Pregledujte vsaj mesečno. Idealno je, da pregledovanje vključite v svoj postopek uvajanja, tako da se vsaka izdaja samodejno pregleda. Nastavite opozorila za nove ali spremenjene piškotke, da jih lahko vaša ekipa hitro oceni in kategorizira. Pregled, ki se izvaja, a nikoli ni pregledan, ne prinaša nobene koristi za skladnost.

  3. Postopek za pregled novih skriptov tretjih oseb

    Vzpostavite formalen postopek, ki ga je treba upoštevati, preden na vaše spletno mesto dodate kateri koli nov skript, vtičnik ali storitev tretje osebe. Postopek mora vključevati: prepoznavanje, katere piškotke skript nastavi, kategorizacijo teh piškotkov, posodobitev konfiguracije upravljanja privolitev, da jih vključi, posodobitev politike piškotkov ter preverjanje, da je skript pravilno blokiran, dokler ni podana ustrezna privolitev. Ta postopek mora vključevati tako tehnični (razvojni) kot skladnostni (pravni/zasebnostni) pregled. Najpogostejši vzrok za neizpolnjevanje skladnosti piškotkov je dodajanje novih skriptov na spletno mesto brez pregleda zasebnosti.

  4. Zaposleni so usposobljeni za skladnost piškotkov

    Vsi, ki sodelujejo pri vašem spletnem mestu — razvijalci, tržniki, ustvarjalci vsebin in vodje — morajo razumeti osnove skladnosti piškotkov in svojo vlogo pri njenem ohranjanju. Razvijalci morajo vedeti, kako dodajati skripte na način, ki upošteva privolitev. Tržniki morajo razumeti, da dodajanje novega piksla za sledenje zahteva pregled skladnosti. Ustvarjalci vsebin morajo vedeti, da vgraditev videoposnetka YouTube uvede piškotke tretjih oseb. Usposabljanje ni nujno obsežno, mora pa zajeti ključno načelo: nobenega novega sledenja brez pregleda. En sam neusposobljen član ekipe, ki doda marketinški skript brez pregleda, lahko izniči mesece dela za doseganje skladnosti.

Uporaba tega kontrolnega seznama

Ta kontrolni seznam je zasnovan za uporabo na tri načine:

  • Začetna izvedba: Pri prvi vzpostavitvi skladnosti piškotkov zaporedno predelajte vseh 25 točk. Ne preskakujte točk in jih ne puščajte za pozneje — delna skladnost je še vedno neskladnost.
  • Redni pregled: Kontrolni seznam pregledujte četrtletno, da preverite, ali so vse točke še izpolnjene. Posebno pozornost namenite stalnim točkam (točke 22–25), saj se te najverjetneje sčasoma spremenijo.
  • Po spremembah: Ob vsaki pomembnejši spremembi vašega spletnega mesta (nove funkcije, nove storitve tretjih oseb, prenova, migracija CMS) predelajte ustrezne razdelke kontrolnega seznama, da preverite ohranjanje skladnosti.

Skladnost piškotkov je dosegljiva. Zahteva pozornost in proces, a nobena od posameznih zahtev ni nerazumno zahtevna. Organizacije, ki se s tem spopadajo, so običajno tiste, ki skladnost obravnavajo kot enkratni projekt namesto kot stalno operativno skrb. Vgradite jo v svoj potek dela, jasno dodelite odgovornost in ta kontrolni seznam uporabljajte kot svoje ponavljajoče se orodje za preverjanje.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke